Last modified: 2024-02-23

Gérer l'accès aux API et les notifications d'événements

Cette section traite des sujets suivants :

Accès à l'API

Pour plus d'informations sur la façon d'utiliser les jetons API, voir notre article de blog à ce sujet.

Pour accéder à la page d'accès à l'API :

  • Cliquez sur Admin > Accès à l'API.

Les clients peuvent communiquer avec OneSpan Sign à partir de leur propre système via des appels API REST. Le système peut authentifier ces appels en utilisant l'une des techniques suivantes :

  • Applications clients
  • Clé API

Applications clients

Avant que les intégrateurs puissent effectuer des requêtes via les API REST ou les fonctions SDK, OneSpan Sign exige que les utilisateurs enregistrent une application client ou fournissent une clé API sécurisée pour authentifier les appels API.

Pour enregistrer une application client

Vous pouvez authentifier les appels d'API REST à partir du système d'un utilisateur en fournissant à ce dernier un jeton d'API sécurisé mais de courte durée (par exemple, 30 minutes) qui peut être utilisé pour l'authentification. Cette fonctionnalité est appelée Applications clients. Pour l'activer, vous devez communiquer avec notre équipe de soutien. Une fois cette fonctionnalité activée, les intégrateurs tiers pourront se connecter à l'API OneSpan Sign en utilisant ces jetons d'API.

Cette fonction n'est pas prise en charge pour les OneSpan Sign les connecteurs.

Pour créer une application client

  1. Dans la section Applications clients de la page Accès à l'API, cliquez sur Ajouter. Une barre latérale Créer une application client apparaît.
  2. Saisissez un nom pour l'application client.
  3. Cliquez sur Créer.
  4. Copiez l'ID client et les codes secrets qui apparaissent
  5. Conservez l'ID client et les codes secrets dans un endroit sûr.
  6. Cliquez sur Terminé.

Le secret n'apparaîtra plus une fois que vous aurez cliqué sur Terminé. Pour vos dossiers, veuillez copier ce secret dans un endroit sûr. L'ID et le secret du client sont utilisés pour récupérer le jeton temporaire de l'API.

Clés API

Bien que les clés API puissent être utilisées avec OneSpan Sign, nous vous recommandons d'utiliser plutôt les applications clients. Les applications clients sont plus flexibles et contribuent à réduire le nombre de failles de sécurité potentielles.

Les applications clients offrent les avantages suivants par rapport aux clés d'API :

  • Avec les applications client, l'accès peut être créé, renouvelé ou révoqué selon les besoins. Les clés API sont fixes, et donc si vous voulez faire des changements d'accès, vous devrez communiquer avec notre équipe de soutien.

  • Plusieurs applications client peuvent être utilisées si vous avez configuré plusieurs intégrations. Cela permet de limiter la portée de toute attaque frauduleuse sur votre système. À l'inverse, une seule clé API est fournie pour toutes les intégrations.

  • Les applications clientes utilisent des jetons temporaires pour permettre l'accès à l'API, qui ne sont disponibles que pour une brève période de temps. Les clés API n'expirent pas et, par conséquent, toute violation vous obligera à communiquer avec notre équipe de soutien.

La clé API peut ne pas être visible, en fonction de votre environnement et des privilèges de votre compte. Seul le propriétaire d'un compte peut consulter une clé API.

Pour afficher votre clé API

  • Dans la section Clé API de la page Accès API, cliquez sur l'icône Afficher.

Par défaut, votre clé API est masquée.

Prévention des pertes de données (PPD)

Les applications client peuvent être configurées pour fonctionner avec un logiciel de prévention des pertes de données (PPD). Si vous utilisez un logiciel PPD dans votre environnement et que vous souhaitez configurer votre logiciel pour surveiller l'ID et le secret du client, communiquez avec notre équipe de soutien.

Notification d'événement

Pour accéder à la page Notification d'événement :

  • Cliquez sur Admin > Notifications d'événements.

OneSpan Sign permet aux intégrateurs d'être automatiquement informés des événements qui concernent leur compte. Lors d'événements sélectionnés, le système émet automatiquement des messages vers une destination choisie par l'intégrateur. Avant que OneSpan Sign ne vous informe d'un événement, vous devez vous inscrire pour en être informé.

Pour configurer les notifications d'événements sur votre compte :

  1. Cliquez sur Admin > Notifications d'événements.
  2. Saisissez une URL de rappel. Ce champ est obligatoire.
  3. Sélectionnez votre méthode d'authentification. Selon la méthode sélectionnée, différentes configurations peuvent être définies :
    1. Aucun : Seule une URL de rappel est requise.
    2. Basique : Saisissez une clé de rappel sécurisée.
    3. OAuth2.0 : Si OAuth 2.0 est sélectionné, des configurations supplémentaires sont nécessaires :
      • ID du client : Configuré dans votre serveur d'autorisation pour l'application.
      • Secret du client : Configuré dans votre serveur d'autorisation pour l'application.
      • URL du serveur d'autorisation : URL de votre serveur d'autorisation pour l'application.
      • Champ d'application : Permet de limiter l'accès à un compte, configuré dans le serveur d'autorisation de l'application. Ces informations doivent être fournies par l'utilisateur.
  4. En option,
  5. Activez les types d'événements pour lesquels vous souhaitez être notifié. Par défaut, les notifications pour tous les types d'événements sont désactivées.
  6. Cliquez sur Enregistrer.
  7. Si vous avez changé d'avis et souhaitez désactiver toutes les notifications d'événements, cliquez sur RÉTABLIR.

    Si vous souhaitez activer la notification d'événements à l'aide de OAuth Refresh Token Flow, vous devez le faire en utilisant une API. Notez que nous ne prenons actuellement en charge cette méthode que sur Salesforce.

Événements générés par le compte

Les événements suivants sont générés à partir d'un compte :

Généré dans le compteDescription
Modèle crééUn nouveau modèle a été créé.
Transaction crééeUne transaction a été créée.
Transaction suppriméeUne transaction a été définitivement supprimée du dossier Corbeille.
Transaction activéeUne transaction a été envoyée.
Transaction désactivéeLe statut de la transaction est passé de ENVOYÉ à ÉBAUCHE.
Transaction prête à être réaliséeUne transaction a été marquée comme DO_NOT_AUTOCOMPLETE, et a été signée par tous les signataires. L'achèvement de la transaction nécessite une action de l'expéditeur.
Enregistrements vidéo prêtsUne fois que tous les signataires ont fini de signer une transaction de salle virtuelle, la session enregistrée est traitée. Une fois que les enregistrements sont prêts à être téléchargés, cette notification est envoyée.
Transaction expiréeUne transaction a dépassé sa date d'expiration.
La transaction a été abandonnéeUne transaction a été déplacée vers le dossier Corbeille.
Transaction archivéeUne transaction a été complétée et est passée au statut Archivé. Les transactions archivées n'apparaissent plus dans la boîte de réception ou le tableau de bord de l'utilisateur.
Transaction restauréeLe statut d'une transaction archivée a été modifié.

Événements générés par les participants

Les événements suivants sont générés par un participant :

Généré par les participantsDescription
Rebond de courrielUn rebond de courriel s'est produit.
Destinataire verrouilléUn destinataire a été bloqué, en raison d'échecs répétés d'authentification.
Échec du KBAIl y a eu un échec d'authentification KBA.
Rôle réassignéUn destinataire a délégué sa signature à un autre signataire.
Ajout d'une pièce jointe à la transactionUn destinataire a téléversé une pièce jointe.
Transaction refuséeUn destinataire a refusé de signer la transaction. La notification comprend le motif du refus du destinataire.
Document consultéLe document d'une transaction a été consulté.
Demande de co-navigationUne demande de session de co-navigation a été envoyée.
Document signéUn document est signé, et l'accord de consentement aux divulgations et signatures électroniques a été accepté.
Signature du destinataire complétéeUn destinataire a terminé de signer tous les documents.
Transaction complétéeUne transaction a été complétée par tous les signataires, et l'expéditeur a complété la transaction.
Was this information helpful?
X